CNET科技资讯网9月21日国际报道 安全专家警告,未修补的微软IE漏洞已被不当的网站企业,包括色情网站,用来安装恶意软件。
安全企业表示,问题发生在IE 6处理某些图像的方式。当使用者点入网站或电邮内的恶意链接,便会在不知情的状况下被安装恶意软件。
VeriSign旗下的iDefense迅速反应小组主任Ken Dunham说:“完整更新过的IE也无法幸免。这个零时差攻击很容易复制,并且有很大的可能在近期内大幅扩散。”
Secunia和French Security Incident Response Team两家安全公司均将此问题列为最严重的等级。
间谍软件专业防护公司Sunbelt Software研发副总Eric Sites表示,作风可疑的成人网站最先利用这个IE弱点,其中一个案例是,某个恶意网站借此安装“大量的广告软件”。
根据微软安全公告,这个IE瑕疵将在10月份的例行更新修补,但可能“根据顾客的需求”提早发布。微软只会在攻击扩散时缩短更新周期。
网络安全公司Websense表示,攻击数量可能迅速上升。该公司的声明指出,经常被用来制作攻击网站的工具WebAttacker,似乎已就新的弱点完成调整。
Websense表示:“我们已经证实有多个、之前未知的WebAttacker网站,正在利用此弱点安装恶意软件。我们预期,现有的数千个WebAttacker网站,在更新最近发布的工具组软件后,也将开始利用这个弱点。”
微软则表示,已经注意到这个弱点被利用。在制作更新的同时,该公司建议使用者随时更新安全软件,并在浏览网页时保持谨慎。微软也在公告中提供几个保护系统的替代方法。
这个弱点出自Windows元件”vgx.dll”,其作用是支持操作系统的Vector Markup Language文件。VML是用来处理网页上的高品质向量图像。
这已是几周来第二个曝光但未修补的IE安全瑕疵。上周,微软才证实IE存在与多媒体相关的ActiveX漏洞,攻击程序已在网络流传,使用IE 5和IE 6的系统可能因此遭挟持。另一个已被利用的Word 2000瑕疵也尚未修补。